Commentaires : LastPass : des utilisateurs rapportent des activités suspectes sur leurs comptes

Plusieurs utilisateurs du gestionnaire de mots de passe
LastPass ont rapporté avoir reçu un email les prévenant de tentatives de connexion sur leur compte à l’aide de leur mot de passe maître.

Leur fond de commerce c’est la sécurité des mots de passe. Si c’est bien vrai alors je peux comprendre leur résistance à avouer une brèche.
Est-ce que c’est une veille brèche comblée et exploitée que maintenant ? (brèche qui donnait l’accès au mot de passe maître ?)

Ou alors les gens dont le mot de passe changé a été réutilisé immédiatement ont leur PC (ou téléphone) vérolé. Je ne vois rien dans l’article qui permette d’incriminer LastPass comme l’article et le premier commentaire le sous-entendent assez lourdement.

La technologie de LastPass est vraiment bonne. Une très grosse partie de leur travail consiste à rendre impossible la compromission du mot de passe maître même s’il y a une brèche dans leur système.
Il y a plus de chance que le texte de l’email soit l’erreur. Autrement dit, ils recoivent le fait que c’est le mot de passe maître qui est compromis alors qu’il s’agit d’une tentative d’accès par credential stuffing (tests multiples speudo aléatoire).

La faute du stagiaire ? Ou tout simplement que le texte ne fait pas parti des tests automatisés…

Encore un fois un gestionnaire de mot de passe en local est le plus sécurisé :slight_smile:

1 « J'aime »

Oui possible (et encore faut s y connaitre en sécurité) mais tellement moins pratique.

1 « J'aime »

pas de souci avec bitwarden en local sur un nas qnap, j’emporte mon coffre en mode déconnecté sur mon mobile et se synchronise à mon retour si j’ai fait une modification. :wink:

1 « J'aime »

J’ai eu le même genre de credential stuffing sur un compte amazon.co.uk, j’ai fait le test moi même et je reçois le même mail d’avertissement.Donc quand ça arrive quelqu’un essie bien de se connecter, probablement avec de vieux comptes piratés, mais quand même, je ne capte pas que des boites de ce niveau ne donnent pas plus d’info dans le mail d’avertissement reçu, c’est à nous de vérifier si le mail vient bien d’amazon ou de google, quelles infos ont réellement été saisies, bref, c’est pas encore ça (on ne parlera pas d’orange ici, ils logguent les connexions du Senegal et les acceptent!!!)